11 資格証明ストア(プレビュー)
この章では、Oracle AI Data Platform Workbenchの資格証明ストアを使用して、アクセス資格証明を作成、管理およびプロビジョニングする方法について説明します。
資格証明ストアについて(プレビュー)
Oracle AI Data Platform Workbenchの資格証明ストアを使用すると、資格証明へのアクセスを作成、管理およびプロビジョニングできます。
AIデータ・プラットフォーム・ワークベンチの左側のナビゲーション・パネルから「資格証明ストア」ページにアクセスします。「資格証明ストア」画面から、AI Data Platform Workbenchインスタンス内のすべての既存の資格証明と、資格証明の作成、変更、削除など、資格証明ストアに対する変更の履歴を表示できます。
AIデータ・プラットフォーム・ワークベンチを使用すると、ノートブックおよびワークフローの一部として使用するための資格証明を作成および格納できます。資格証明には、クラウド、データベース、APIなどのAIデータ・プラットフォーム・ワークベンチ以外のソースへのアクセスに使用されるキー、トークンまたはパスワードが含まれます。資格証明ストアは、資格証明の作成と格納、資格証明にアクセスできるユーザーの権限の管理、および資格証明の使用方法の監査ログの表示を行うための安全な方法を提供します。
資格証明は厳密なアクセス制御で管理され、セキュアで認可された使用が保証されます。資格証明ストアでの操作は、該当する規制およびコンプライアンス要件を確実に遵守するために、AI Data Platform Workbenchの監査ログに記録されます。
- シークレット・トークン:このカテゴリの資格証明を使用すると、APIなどのサードパーティ・サービスにアクセスできます。シークレット・トークン・タイプの資格証明は、本質的に自由形式であり、フィールド名とその値を格納するためのキーと値のペアを指定する必要があります。
- OCIボールト・リファレンス:既存のOCI Vaultシークレットへの参照を格納して、ユーティリティAPIを使用してボールトからシークレットを取得できるようにします。AIデータ・プラットフォーム・ワークベンチはシークレット値を格納しませんが、必要に応じてセキュアにアクセスします。
前提条件
AIデータ・プラットフォーム・ワークベンチで資格証明を作成するには、マスター・カタログ・レベルでCREATE_CREDENTIAL権限が必要です。詳細は、マスター・カタログ権限を参照してください。
また、次のIAMポリシーが適切なコンパートメントで構成されていることも確認する必要があります:
Vaultリファレンスの場合:allow any-user to read secret-bundles in compartment id <Secret_Compartment_OCID> where all { request.principal.type = 'aidataplatform', request.principal.id = target.secret.system-tag.orcl-aidp.governingAidpId } allow any-user to use keys in compartment id <Key_Compartment_OCID> where request.principal.type = 'aidataplatform' 資格証明ストアのユースケース
- 外部システム統合: SaaSプラットフォーム、データベース、データ・ソースなどのサードパーティ・システムに接続するために必要なAPIトークンまたは資格証明を格納します。
- パイプラインおよびワークフロー認証:資格情報をハードコードせずに、データ・パイプライン、ジョブまたはワークフロー内のシークレットを安全に参照します。
- 一元化されたシークレット管理:チームや環境全体で使用される資格証明の信頼できる唯一の情報源を維持します。
- Enterprise Vault統合: Vault参照を使用して、既存のエンタープライズ・グレードのシークレット管理システムを活用しながら、ワークフローと統合します。
ベスト・プラクティス
資格証明ストアを使用する際のセキュリティとメンテナンス性を確保するには、次のベスト・プラクティスに従います。
- シークレットのハードコーディングの回避:コード、構成またはスクリプトに機密値を埋め込むのではなく、常に資格証明ストアに格納します。
- 可能な場合はVault参照を使用:機密性の高いデータまたは規制されたデータの場合、ボールト参照を優先します。
- 最小権限の原則によるアクセスの制限:アクセスが必要なユーザーのみにシークレットを共有し、広範または不要な権限を回避します。
- 記述命名規則の使用:シークレットを識別および管理しやすくするために、シークレットに明瞭に名前を付けます(例: openai-api-token-prod)。
- シークレットの定期的なローテーション:トークンと資格証明を定期的に更新して、妥協のリスクを軽減します。
- 環境別のシークレット:誤って使用しないように、開発、ステージングおよび本番環境用の個別のシークレットを維持します。
- 使用状況の監査およびレビュー:シークレットへのアクセス権を持つユーザーとその使用場所を定期的に確認します。
資格証明ストアを効果的に使用することで、チームはセキュリティ体制を改善し、資格証明管理を簡素化し、AIデータ・プラットフォーム全体でスケーラブルな統合を実現できます。
資格証明の作成(プレビュー)
他のソースにアクセスするための資格証明を作成するには、必要な詳細を提供する資格証明タイプを選択します。
- 左側のナビゲーション・ペインで「作成」をクリックし、「資格証明」を選択します。「資格証明ストア」にナビゲートして、
「資格証明の作成」をクリックすることもできます。 - 名前と説明を指定します。
- 「資格証明タイプ」ドロップダウン・リストから、適切な資格証明タイプを選択します。
- 値を直接格納するには、「シークレット・トークン」を選択します。
- 外部ボールト・シークレットを参照するには、「Vaultリファレンス」を選択します。
- 表示されるフィールドに必要な資格証明を指定します。
- 「シークレット・トークン」に、キー名とシークレット値を指定します。
- 「Vaultリファレンス」に、ボールトOCIDを指定します。
- 該当する場合は、アクセスまたは表示設定を構成します。
- 「作成」をクリックします。
ノートブックでの格納済資格証明の使用(プレビュー)
helpptuilsユーティリティを使用して、ノートブックのコードに格納されている資格証明をコールできます。
- ノートブックに移動します。
- 機密値を必要とするフィールドを指定してください。たとえば、APIキーまたはパスワードです。
- 格納された資格証明を取得するには、支援ファイルを使用します。
- シークレット値には、
My_key = myKey = aidputils.secrets.get(name=<<cred_name>>, key="key_name")を使用します - ボールト参照の場合は、
myKey = aidputils.secrets.get(name=<<cred_name>>, key=VaultSecretReference)を使用します
- シークレット値には、
- ノートブックを実行します。AI Data Platform Workbenchは、実行時にシークレットを解決します。
資格証明の変更(プレビュー)
資格証明ストア内の資格証明の名前、説明または構成を変更して、最新の状態に保つことができます。
- ホーム・ページで、資格証明ストアに移動します。
- 変更する資格証明の横にある
「アクション」をクリックし、「編集」をクリックします。資格証明名をクリックしてから、右上の「編集」をクリックすることもできます。 - 必要に応じて、名前、説明または構成の詳細を変更します。
- 「保存」をクリックします
資格証明の共有(プレビュー)
資格証明ストアで資格証明を共有し、それらにアクセスできるユーザーを管理できます。
- ホーム・ページで、資格証明ストアに移動します。
- 共有する資格証明の名前をクリックします。
- 「アクセス権」タブをクリックします。
- 必要に応じて、資格証明の権限を追加または変更します。
- 「保存」をクリックします
資格証明の削除(プレビュー)
資格証明ストアから資格証明を削除して、未使用または廃止された資格証明を削除できます。
- ホーム・ページで、資格証明ストアに移動します。
- 変更する資格証明の横にある 「アクション」をクリックし、「削除」をクリックします。資格証明名をクリックしてから、右上の「削除」をクリックすることもできます。
- 「資格証明の削除の確認」を選択します。
- 「削除」をクリックします